DPO Giovanni Bigazzi Firenze

Anche se lo schema di DPCM che riguarda il perimetro di sicurezza nazionale cibernetica potrebbe essere ancora soggetto a variazioni, il suo iter dovrebbe concludersi entro il mese di luglio, possiamo fare una prima estrema sintesi di quanto già introdotto nel testo. Il perimetro individua soggetti che appartengono a due macro-categorie: quelli che assolvono a una  funzione essenziale dello Stato  e quelli che prestano un  servizio essenziale per gli interessi dello Stato .  Alla prima categoria appartengono quei soggetti a cui l'ordinamento attribuisce compiti rivolti ad assicurare: La continuità dell'azione del Governo e degli Organi costituzionali La sicurezza interna ed esterna e la difesa dello Stato Le relazioni internazionali La sicurezza e l'ordine pubblico L'amministrazione della giustizia La funzionalità dei sistemi economico e finanziario, e dei trasporti Alla seconda categoria appartengono quei soggetti anche ...

Negli ultimi anni la tendenza nel settore delle forniture ICT è sempre più quella di esternalizzare questa tipologia di servizi. Tra le cause di questa tendenza ci sono vari fattori: la difficoltà del reperimento sul mercato del lavoro delle competenze richieste, l'oggettiva diminuzione dei costi in un mercato sempre più competitivo col conseguente abbattimento dei costi fissi per le aziende, la velocità di dispiegamento di tali risorse nell'ambito delle infrastrutture IT nel cloud, la possibilità di concentrarsi sul proprio core business mantenendo un alto profilo di governance, la scalabilità delle risorse dove si paga solo per ciò che effettivamente si usa. Il risultato è che i data center in house si svuotano di hardware fisico per andare sul cloud nelle sue varie declinazioni:  infrastrutture IaaS e PaaS, piattaforme SaaS, servizi SOCaaS. Chiaro che questa impostazione presenta delle criticità dal punto di vista della sicurezza in quanto generalmente si tende a sottovaluta...

Venerdì scorso FamilyTreeDNA, una delle maggiori aziende specializzate nella commercializzazione di test genetici per clienti privati, ha reso accessibile all'FBI la sua banca dati genetica, in questo modo i dati personali nella disponibilità dell'autorità giudiziaria federale americana sono raddoppiati. Già nell'aprile dello scorso anno il Golden State Killer, un cold case di una decina d'anni è stato risolto dall'FBI mediante l'accesso alla banca dati pubblica GEDmatch, una piattaforma open source, attraverso la consulenza di un genealogista genetico. Questo però è il primo caso in cui un'azienda privata volontariamente mette a disposizione dell'ente investigativo della polizia federale USA i dati dei propri clienti. Il dato personale genetico è diverso dagli altri dati personali in quanto la condivisione o la pubblicazione del dato genetico non riguarda solamente quella persona ma anche tutti coloro che gli sono geneticamente collegati attravers...

Tra le policy più importanti da mettere a punto riguardo alla gestione della data protection in ambito privacy vi è sicuramente quella che riguarda il riscontro che il titolare del trattamento, o il suo rappresentante se nominato, deve dare all'interessato. Questa policy rientra tra quelle obbligatorie e si dovrà basare sugli artt. da 15 a 22 del regolamento europeo UE 2016/679 e in particolare: Articolo 15 - Diritto di accesso dell'interessato Articolo 16 - Diritto di rettifica Articolo 17 - Diritto di cancellazione (diritto all'oblio) Articolo 18 - Diritto di limitazione di trattamento Articolo 19 - Obbligo di notifica in caso di rettifica o cancellazione dei dati personali o limitazione del trattamento Articolo 20 - Diritto alla portabilità dei dati Articolo 21 - Diritto di opposizione Articolo 22 - Processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione Inoltre occorre tenere conto anche dei considerando 59, 64 e 73: ...

Con l'acronimo BYOD "Bring Your Own Device" (porta il dispositivo tuo) si intende la gestione dei dispositivi elettronici personali quali smartphone, tablet, laptop, notebook e dispositivi simili in ambito lavorativo. Negli ultimi anni abbiamo assistito ad un uso sempre più diffuso di dispositivi mobili personali, in particolare smartphone, in ambito lavorativo per memorizzare, accedere remotamente, trasmettere o ricevere dati, utilizzare dati ed informazioni aziendali su base occasionale o regolare. Se da un lato le aziende generalmente favoriscono se non addirittura promuovono l'utilizzo di tali dispositivi anche all'interno della propria rete perché questo porta a vantaggi in termini di efficienza e produttività: maggiore familiarità con le funzioni del dispositivo da parte del personale, dall'altro occorre inserire la gestione di tali dispositivi elettronici nelle policy di sicurezza in essere in un bilanciamento talvolta difficile tra le esigenze di ...

Il prossimo 25 maggio, tra meno di un mese, scatteranno le sanzioni per coloro che non sono in regola col nuovo regolamento europeo sui dati personali. Vediamo allora cosa dobbiamo fare per rendere i nostri siti internet conformi col GDPR e partiamo dai famigerati cookie. Cosa è un cookie? Un cookie è un piccolo file che quando viene visitato un sito internet viene scaricato sul vostro dispositivo. Il GDPR cita i cookie solo una volta in tutto il testo del regolamento e precisamente nel considerando 30 dove si stabilisce che: “Le persone fisiche possono essere associate a identificativi online prodotti dai dispositivi, dalle applicazioni, dagli strumenti e dai protocolli utilizzati, quali gli indirizzi IP, a marcatori temporanei (cookies) o a identificativi di altro tipo, come i tag di identificazione a radiofrequenza. Tali identificativi possono lasciare tracce che, in particolare se combinate con identificativi univoci e altre informazioni ricevute dai server, possono essere ...